Mozilla blokuje Flasha w Firefoksie, Facebook chce śmierci wtyczki

O autorze

Łukasz Tkacz

Ostatni wyciek dokumentów z firmy Hacking Team ma bardzo poważne konsekwencje dla wtyczki do obsługi Adobe Flasha. Jak się okazało, to właśnie dziury w tym komponencie umożliwiają dokonywanie najróżniejszych ataków, przejmowanie kontroli nad komputerami i szpiegowanie użytkowników. Mozilla zareagowała na doniesienia nad wyraz dobitnie, zablokowała Flasha w przeglądarce Firefox.

Bezpieczeństwo Flasha jest problemem znanym od dawna, ale w ostatnim czasie bardzo nagłośnionym. Wszystko za sprawą poważnych luk, które są już wykorzystywane do przeprowadzania masowych ataków na użytkowników z całego świata. W efekcie tych doniesień Mozilla postanowiła umieścić na czarnej liście wtyczek Adobe Flasha w wersji 18.0.0.203 i starszych – użytkownicy dla własnego bezpieczeństwa nie powinni z niego korzystać i właśnie dlatego wtyczka jest automatycznie blokowana. Jedynym sposobem skorzystania z niej jest wykorzystanie mechanizmu odtwarzania na żądanie, po potwierdzeniu przez użytkownika.

Równie szybka jest tym razem i reakcja firmy Adobe. Wydała już ona nową wersję wtyczki o numerze 18.0.0.209, która łata kolejne dwie krytyczne luki 0-day wykorzystywane przez Hacking Team (CVE-2015-5122 i CVE-2015-5123). Teoretycznie użytkownicy tej wersji mogą czuć się bezpieczni, ale dotychczasowa historia aktualizacji bezpieczeństwa Flasha pokazuje, że zapewne istnieją kolejne bardzo poważne dziury. Najlepszym rozwiązaniem jest więc kompletne odrzucenie tej technologii i odinstalowanie wtyczki z komputerów, z których korzystamy. Coraz więcej materiałów w Internecie jest dostępnych za pośrednictwem HTML5, a usunięcie tego komponentu wyraźnie zwiększa nasze bezpieczeństwo. Flash jest natomiast bardzo częstym wektorem ataku na zwykłych użytkowników.

Ostatnie problemy mogą być gwoździem do trumny Adobe Flasha. Według Alexa Stamosa odpowiedzialnego za bezpieczeństwo w Facebooku, Adobe powinno ogłosić ostateczną datę zakończenia wsparcia dla Flasha. Nawet gdyby te miało być utrzymywane jeszcze przez np. 18 miesięcy, jest to jedyne rozwiązanie mogące zaoferować odpowiedni poziom bezpieczeństwa. Oczywiście wszystkie popularne przeglądarki powinny w takim dniu wycofać wsparcie dla wtyczki, aby nie narażać internautów na ryzyko związane z używaniem niezałatanej i niewspieranej wersji.

Pomysł nie jest w zasadzie nowy, bo już Apple jeszcze ze Stevem Jobsem na czele pożegnało w 2010 roku Flasha i w przypadku systemu iOS postawiło na HTML5. Wtedy wydawało się to rozwiązaniem nieco dziwnym, tę samą drogę rok później wybrało Google usuwając wsparcie dla Flasha z mobilnej wersji przeglądarki Chrome. Zdecydowana reakcja Mozilli pokazuje, że zarówno twórcy oprogramowania, jak i użytkownicy mają już dosyć problemów związanych z bezpieczeństwem wtyczki i nie obawiają się świata bez Flasha. Może więc czas najwyższy zupełnie go porzucić?